このプラグインは100万人以上が利用している超人気プラグインで公式からインストールができますが、公式にアップされる際のセキュリティチェックで見落としされたのかもしれません。
しかし残念ながら確実に2件のCSRFが確認されています。
ただし無料で使用できるものですし、WordPress.org(公式リポジトリ)自体には基本的に責任はありません。
導入判断・更新管理・脆弱性対策の最終責任者は使用者になるのでしっかり把握したうえで対策を行ってください。
では本題に入りますがこのプラグインの使用は問題無いかどうかですが、100万サイト以上が利用しているため、攻撃者にとっては リターンが大きい=攻撃対象になりやすく、危険です。
使用するなら該当箇所の修正を行ってから使用することを強くおすすめします。
※この修正は簡単なので修正費用は、当サイトでは2000円です。
Leave a Reply